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(§4) Procede d'authentification d'au moins un dispositif d'identification par un dispositif de verification. 

(57) La presente invention conceme un nouveau procede ^^.^.^ 
crauthentification d'au moins un dispositif d'identification »-«.—»«.. 

par un dispositif de verification. Ce procede est base sur ^ssirsxsjr:: 

des techniques cryptographiques a cles secretes et publi- '\, • t, . 

ques, I'authentification etant realisee par un protocole a ap- eu. *.«,,.»,. P ^ 
port nul de connaissance. fl-BI 1 ''^""" 

De plus, ce dialogue est etabli en utilisant le problemes -«.«.»» 

des equations lineaires contraintes. . . . 

L'invention s'applique a la cryptologie. 
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PROCEDE D'AUTHENTIFICATION DAU MOINS UN DISPOSITIF 
□'IDENTIFICATION PAR UN DISPOSITIF DE VERIFICATION 

La presente invention concerne un nouveau proc6d6 
5 d'authentification d'au moins un dispositif d' identification par un 
dispositif de verification, cette authentification etant realis6e par un 
protocole a apport nul de connaissance base sur le probleme des 
equations lineaires contraintes. 

Le probleme des equations lineaires contraintes (Constrained 

10 linear equations : CLE en langue anglaise) consiste a trouver des valeurs 
satisfaisant un certain nombre d'equations lineaires modulo un nombre 
premier d, ces valeurs etant de plus contraintes a se trouver dans un 
ensemble present X. 

La presente invention s'applique plus particulierement au cas 

15 des communications dites s6curisees ou deux dispositifs 6changent des 
donn6es a travers un canal dont la s6curite est suspecte. Dans ce cas, il 
est essentiel d'avoir un moyen de reconnaissance mutuelle, a savoir un 
moyen permettant au dispositif de verification d'authentifier un 
utilisateur et de lui permettre un accSs aux donnees ou au service. II 

20 existe de nombreux exemples n6cessitant la mise en oeuvre de ce type 
de communication s6curis6e. On peut citer, notamment, le cas des 
ordinateurs de type bancaire permettant d'effectuer des transferts 
d'ordre, des distributees automatiques de billets, des d6codeurs de 
television a p6age, des publiphones. 

25 Dans ce contexte, on utilise fr6quemment des m6thodes 

d'authentification qui sont bas6es sur des techniques cryptographiques a 
cl6s secretes. Ces methodes sont, jusqu'a ce jour, les plus simples a 
mettre en oeuvre. Dans le cadre de ces m6thodes, le dispositif 
d'identification, en g6n6ral une carte a puce, et le dispositif de 

30 verification tel qu'un lecteur de carte, un d6codeur, un publiphone, 
partagent la mdme cl6 secrete et identification est accomplie par un 
algorithme sym6trique ou une fonction a sens unique. 

L" inconvenient de ces methodes reside dans le fait que les 
deux parties, a savoir le dispositif de verification et le dispositif 

35 d'identification, doivent coop6rer mutuellement et secretement. Cette 
condition n'est pas toujours v6rifiee. En effet, un element pirate peut 
acheter le dispositif de verification et I'analyser pour connaTtre sa 
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structure interne. Ensuite, I'6l6ment pirate est techniquement capable de 
r6aliser des dispositifs d'identification performants, car les cl6s secretes 
sont pr6sentes aux deux extr§mit6s du reseau, a savoir dans le dispositif 
de verification et dans le dispositif d'identification. 
5 II est reconnu que, parmi les divers proc6d6s pouvant 6tre 

impl6ment6s pour se pr6munir contre les inconv6nients des mfithodes 
classiques connues, les protocoles a apport nul de connaissance 
assurent jusqu'a maintenant le degre de s6curit6 le plus 6lev6. Ces 
protocoles a apport nul de connaissance sont fonctionnellement 

10 caract6ris6s par le fait qu'un nombre illimite d'interactions avec le 
dispositif d'identification et une analyse complete de la structure du 
dispositif de verification ne sont pas suffisants pour pouvoir reconstruire 
les dispositifs d'identification. On peut trouver une description des 
proc6des d'identification a apport nul de connaissance existant 

15 notamment dans le brevet ame>icain N° 4 748 668 au nom de FIAT et 
al. ou dans le brevet amgricain US-A-4 932 056 au nom de Shamir. Ce 
dernier brevet d6crit une m6thode d'authentification bas6e sur le 
probleme des noyaux permutes, cette methode 6tant connue sous le 
nom de methode PKP. 

20 Le present inventeur a aussi mis au point un nouveau proc£d6 

d'authentification base sur le probleme du decodage par syndrome. 
Cette methode est decrite dans I'article intitule "A new identification 
scheme based on syndrome decoding" de Jacques STERN presents au 
congres CRYPTO 93 {Actes a paraitre dans la collection "Lecture Notes 

25 in Computer Science"). L'inconv6nient des diffGrentes m6thodes 
d6crites ci-dessus est d'etre relativement lentes lors des echanges entre 
les dispositifs de verification et d'identification. D'autre part, les cl6s 
publiques ou secretes utilisees dans ces methodes sont en general 
codees sur un nombre de bits tres important, necessitant une puissance 

30 de calcul eievee et une place m6moire non n6gligeable. 

La presente invention a done pour but de rem6dier aux 
inconv6nients mentionnes ci-dessus en proposant un nouveau proc6d6 
d'authentification qui permet une authentication rapide du dispositif 
d'identification par le dispositif de verification et autorise I'emploi de cl6s 

35 , tant publiques que secretes, de taille mod6r6e. 

La presente invention a pour objet un procede 
d'authentification d'au moins un dispositif de verification base sur des 
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techniques cryptographiques a cl6s secretes et publiques, 
I'authentification etant r6alis6e par un protocole a apport nul de 
connaissance, caract6ris6 en ce que la cl6 publique est 6tablie en 
utilisant les equations lineaires contraintes. De preference, ce proc6d6 
5 est caract6ris6 par les 6tapes suivantes : 

- pour permettre le dialogue entre le dispositif d' identification 
et le dispositif de verification, etablir une cl6 secrete constituee par au 
moins un vecteur S de dimension n dont les coordonn6es sont choisies 
dans un ensemble X fixe et une cl6 publique comprenant une matrice M 

10 de dimensions m x n dont les coefficients sont choisis al6atoirement 
parmi les entiers compris entre 0 et d-1 ou d est un nombre premier 
proche du carr6 d'un nombre c, et au moins un vecteur P tel que 
P = g(M(S)) ou g designe une fonction qui est definie a partir de 
I'ensemble X et d'un sous groupe G de Pensemble des entiers (1, 2, ...d- 

15 1 ) et qui associe a chaque coordonn6e x du vecteur, un element g(x) de 
G tel que x s'ecrive d'une mani6re unique comme produit de g(x) et d'un 
element k(x) de X, 

- au niveau du dispositif d'identification, recevoir un ou 
plusieurs elements aieatoires produits par le dispositif de verification et 

20 envoyer au dispositif de verification un engagement obtenu en 
appliquant une fonction de hachage cryptographique sur des parametres 
fonctions de S, de M et des elements aieatoires , 

- puis, en fonction du ou des nombres aieatoires tir6s par le 
dispositif de verification, tester au niveau du dispositif de verification a 

25 I'aide des elements recus et de la cie publique, que les engagements 
sont corrects, 

- repeter les operations pr6cedentes un nombre de fois 
fonction du niveau de s6curit6 souhaite. 

Dans le procede d'authentification ci-dessus, on utilise une 
30 matrice M de dimensions m x n, cette matrice 6tant commune a tous les 
utilisateurs et construite aieatoirement. Chaque utilisateur recoit une cl6 
secrete S qui est un mot de n bits dont les coordonn6es sont choisies 
dans un ensemble X fix6. L'ensemble X est forme de c elements, tels 
que tout entier compris entre 1 et d-1 s'6crive de maniere unique comme 
35 produit d'un element de G et d'un element de X. Dans ce cas, le 
systeme calcule la cl6 publique P telle que P = g{M(S)). 
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D'autre part, le proced6 d' identification est bas6 
principalement sur la notion technique d'engagement. Si U est une 
sequence d'elements binaires, un engagement pour U est I'image de U a 
travers une certaine fonction de hachage cryptographique. 
5 L'engagement sera utilise comme une fonction a sens unique. La 
fonction de hachage proprement dite peut §tre realisee par exemple 
suivant la methode presentee par R. Rivest a CRYPTO 90, sous le nom 
de MD4 (Actes du congres CRYPTO 90, collection "Lecture Notes in 
Computer Science", pp. 303-311). On peut utiliser egalement la 

1 0 modification de cette m6thode introduite avec le nom MD5 ou encore le 
standard amencain SHA (secure hash standard, Federal Information 
Processing Standards Publications, 30 octobre 1992). II est enfin 
possible d'utiliser a la place de la fonction de hachage un algorithme de 
chiffrement tel que DES, ou le message a hacher joue le r6le de la cl6 

1 5 et/ou du texte clair a chiffrer. On recommande cependant d'it6rer un tel 
proc6d6 de facon que le condense obtenu par hachage ait de pr6f6rence 
au moins 128 bits. 

Le dispositif d'identification utilise par ailleurs un gen6rateur 
de permutations al6atoires permutant des vecteurs binaires. Un tel 

20 gengrateur peut etre realise a partir d'une source de bruit blanc 
nume>isee, par exemple une diode polarisee en inverse dans la zone dite 
"du coude", ou peut aussi @tre construit par des methodes logicielles 
comme decrit dans les brevets americains 4 817 147 au nom de 
GUNTER ou 4 649 419 au nom d'ARAGON. 

25 

Selon un premier mode de realisation du proc6d6 
d'authentification, dans une premiere 6tape commune aux diff6rents 
procedes, le dispositif d'identification revele au dispositif de verification 
son identite et/ou sa cl6 publique signee. 

30 D'autre part, apres avoir choisi aleatoirement deux vecteurs U 

et V de dimensions respectives m et n constitues d'entiers compris entre 
0 et d-1 ainsi que deux permutations p et q respectivement sur m et n 
6l6ments, le dispositif d'identification calcule et transmet au dispositif de 
verification les engagements hi, h2 et h3 d6finis a partir d'un dispositif 

35 de hachage par hi =H(p,q,MU + P # V), h2 = H(U.p.V.q) et h3 = H((U + 
S).p, (V - T).q) ou P*V d6signe le produit terme a terme des 
composantes des vecteurs P et V, r6duit modulo d et ou T est le vecteur 
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k(M(S)), lequel peut Stre calculi en fonction de S par le dispositif 
d' identification ou stockt dans une partie physiquement inviolable de la 
mtmoire du dispositif ; 

- le dispositif de vtrification tire d'une facon altatoire un 
5 nombre b tel que 0 < b < 4 ; 

- si b vaut 1, alors le dispositif d" identification retourne une 
rgponse r constitute des valeurs de p, q, U et V ; 

- si au contraire b vaut 2, le dispositif d'identification retourne 
une rtponse r constitute de p,q et des vecteurs U'= (U + S), V = <V - 

10 T) ; 

- si enfin b vaut 3, alors le dispositif retourne une rtponse r 
constitute des vecteurs U.p, V.q ainsi que des vecteurs U" = (U +S).p 
et V- = (V - T).q ; 

- le dispositif de verification recoit la rtponse r, dans le cas 
15 b = 1, il calcule a partir des tltments recus p, q, U, V, les valeurs de MU 

+ P*V, U.p, V.q lesquelles doivent. si la rtponse est correcte, 6tre 
telles que hi = H(p,q,MU + P*V) ; h2 = H(U.p, V.q> ; 

- si au contraire b = 2, il calcule a partir des tltments recus p,q 
U\ V, les valeurs de MU' + P*V\ U'.p, V.q lesquelles doivent, si la 

20 rtponse est correcte, ttre telles que hi = H{p,q, MU' + P*V) et h3 = 
H(U'.p, V.q) ; 

- si b vaut 3, alors le dispositif de verification vtrifie les deux 
tgalitts h2 = H(U.p, V.q) et h3 = H(U", V"), de plus le dispositif de 
verification calcule les deux vecteurs U" - U.p et V" - V.q et teste que 

25 ces vecteurs sont bien constitute uniquement d'tltments de X. 

Selon un autre mode de rtalisation priviltgit de la prtsente 
invention, dans une premitre ttape commune aux difftrents proctdts, le 
dispositif d'identification rtvele au dispositif de vtrification son identitt 
et/ou sa clt publique signte, 

30 - puis aprts avoir choisi altatoirement deux vecteurs U,V de 

tailles respectives m et n constitutes d'entiers compris entre 0 et d-1 
ainsi que deux permutations p et q respectivement sur m et n tltments, 
le dispositif d'identification transmet au dispositif de vtrification les 
engagements hi et h2 dtfinis a partir du dispositif de hachage par hi = 

35 H(p,q,MU + P*V), h2 = (U.p, V.q), ou P*V dtsigne le produit terme a 
terme des composantes des vecteurs P et V rtduits modulo d, 
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- le dispositif de verification tire de facon aieatoire un nombre 
a compris entre 0 et d - 1 ; 

- alors le dispositif d'identification calcule et envoie au 
dispositif de verification les vecteurs Y = (aS + U).p et Z = (aT - V).q 

5 ouT est le vecteur k(M(S)), lequel peut 6tre calcule en fonction de S par 
le dispositif d'identification ou stocke dans une partie physiquement 
inviolable de la mgmoire du dispositif ; 

- le dispositif de verification tire de facon aieatoire un bit b = 

0 ou 1 ; 

10 - si b vaut 0, alors le dispositif d'identification retourne une 

r6ponse r constitu6e des valeurs de p et q ; 

- si au contraire b vaut 1, le dispositif retourne une reponse r 
constituee des vecteurs U' = S.p et V = T.q ; 

- le dispositif de verification recoit la r6ponse r, dans le cas b 
15 = 0. il calcule a partir de p et q les vecteurs X* et Z' tels que (Y').p = Y 

et (Z').q = Z, puis le vecteur M(Y') - P*Z' lequel doit si la reponse est 
correcte Stre tel que hi = H(p,q,M(Y'} - P*Z') ; 

- si b = 1, alors le dispositif de verification calcule les 
vecteurs Y - all* et aV • Z lesquels doivent si la reponse est correcte 

20 Stre tels que h2 = H(Y - all*, aV - Z) et le dispositif de verification teste 
de plus que les vecteurs IT et V" sont constitu6s uniquement d'6l6ments 
de X. 

D'autres caract6ristiques et avantages de la pr6sente invention 
apparaTtront a la lecture de la description de deux modes de realisation 
25 du procede, cette description 6tant faite avec reference aux dessins ci- 
annex6s, dans lesquels : 

- la figure 1 est un schema expliquant un premier mode de 
mise en oeuvre du procede d'authentification conforme a la presente 
invention, et 

30 - la figure 2 est un schema d'un second mode de realisation 

du procede conforme a la presente invention. 

La presente invention concerne done un nouveau proc6d6 

d'authentification realise par un protocole a apport nul de connaissance. 

Dans ce cas, la securite du procede est basee sur le probieme des 
35 equations Iin6aires contraintes. Ce probieme consiste a trouver n valeurs 

satisfaisant un certain nombre d 'equations Iin6aires modulo un nombre 

premier d, ces valeurs 6tant de plus contraintes a se trouver dans un 
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ensemble prescrit X. Le probleme pose" ci-dessus est en fait tres difficile 
a rgsoudre par les moyens de calcu! connus a ce jour des que le nombre 
de variables est grand. Le systeme decrit correspond, en fait, au cas de 
m Equations a n + m variables et, avec des valeurs m = n = 20, on 
5 dgpasse d£ja largement les possibilites des calculateurs. 

Pour mettre en oeuvre le procede d'authentification conforme 
a la presente invention, une autorite choisie et publie une matrice M de 
dimensions mxn.de preference m = n, cette matrice etant constitu6e 
de coefficients choisis aieatoirement parmi les entiers compris entre 0 et 

10 d - 1. d est en general un nombre premier proche du carre d'un nombre 
c. De pr6f6rence, d = 257, a savoir (16 x 16) + 1. L'autorite choisit 
aussi une collection de vecteurs S de dimensions n dont les 
coordonne'es sont choisies aieatoirement dans un ensemble X. 
L'ensemble X est determine" en fonction d'un ensemble G appeie groupe 

15 multiplicatif forme" de la suite des puissances successives d'un nombre 
reduites modulo d, cet ensemble 6tant choisi de facon que le nombre 
d'eiements de G soit c. Dans ce cas, il existe alors un ensemble X forme 
6galement de c elements et tel que tout entier compris entre 1 et d-1 
s'ecrive de maniere unique comme produit d'un element de l'ensemble G 

20 et d'un element de l'ensemble X. On notera done g(u) I'ei6ment de G 
intervenant dans I'unique decomposition d'un entier u compris entre 1 et 
d-1 et k(u) I'eiement correspondent de X. Si U est un vecteur d'entiers 
compris entre 1 et d-1, g(u) est forme des images par G des 
coordonnees de U. On definit de mfime k(U). 

25 La cie secrete ainsi d6termin§e est distribuee aux differents 

dispositifs d'identification. D'autre part, on publie l'ensemble des cl6s 
publiques constituees par le vecteur P = g(M (S)). Dans le cadre de la 
presente invention, cette cie publique peut §tre cod6e sur un faible 
nombre d'octets de m6me que la cie secrete S par P intermediate d'une 

30 table des elements de G et de X. Ainsi, dans le cas ou d = 257 et ou m 
= n = 20, on obtient des cies de 10 octets, ce qui constitue un 
avantage du present procede par rapport aux autres proced6s a apport 
nul de connaissance connus a ce jour. 

On d6crira maintenant deux modes de realisation sp6cifiques 

35 du proc6d6 de la presente invention. 

Le premier procede sera d6crit avec reference a la figure 1 qui 
represente sch6matiquement le protocole de communication mis en 
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oeuvre entre un dispositif d'identification et le dispositif de verification, 
pour realiser une authentification. Les dispositifs d'identification qui 
peuvent etre constitues, par exemple, par des cartes a puces ou des cles 
eiectroniques doivent 6tre physiquement inviolables. Ainsi, pour une 
5 carte a puce, il doit §tre impossible d'acceder a sa memoire interne. Rien 
par contre n'est suppose concernant Penvironnement dans lequel evolue 
le dispositif de verification. D'autre part, le dispositif d'identification 
comporte dans une memoire non volatile sa cl6 secrete S, a savoir le 
vecteur S de dimension n et la matrice M de dimension m x n tandis que 

10 le dispositif de verification comporte dans une memoire non volatile 
I'ensemble des cl6s publiques constitutes des vecteurs P, ou bien des 
donnees suffisantes pour verifier qu'une cl6 P sign6e a bien 6t6 produite 
par I'autorite competente. Quand un dispositif d'identification veut entrer 
en contact avec un dispositif de verification, les deux dispositifs 

1 5 executent le protocole suivant : 

- tout d'abord le dispositif d'identification revele son identity 
et/ou sa cie signed au dispositif de verification qui v6rifie que Pidentite 
en question correspond bien a P ; 

- ensuite le dispositif d'identification choisit deux vecteurs 
20 aieatoires U.V de tailles respectives m et n, de preference m = n, 

constitues d'entiers compris entre 0 et d-1 ainsi que deux permutations 
aieatoires p et q, respectivement sur m et n elements. Alors, le dispositif 
d'identification calcule les elements suivants : hi = H(p,q,MU + P*V), 
h2 = H(U.p, V.q) et h3 = H((U + S).p, (V-T).q) ou P # V d6signe le 

25 produit terme a terme des composantes des vecteurs P et V r6duit 
modulo d et ou T est le vecteur k(M(S)). Une fois le calcul effectu6, le 
dispositif d'identification envoie au dispositif de verification 
I'engagement hi, h2, h3. Alors, le dispositif de verification tire de facon 
aieatoire un nombre b tel que 0 < b < 4 et I'expGdie au dispositif 

30 d'identification ; 

- ensuite le dispositif d'identification calcule et envoie au 
dispositif de verification une reponse r definie par : 

- si b = 1 , alors r est constitu6e des valeurs de p, q, U et V ; 

- si b = 2, alors r est constitu6e de p,q et des vecteurs U' = 
35 (U + S) et V = (V - T) ; 

- si b = 3, alors r est constituee des vecteurs U.p, V.q et des 
vecteurs U" = {U + S).p et V = (V - TJ.q. 
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Le dispositif de verification recoit la reponse r et, 
-sib = 1 , il calcule a partir des elements recus p,q, U,V les 
valeurs de ML) + P* V, U.p, V.q, et ces valeurs doivent, si la reponse est 
correcte, etre telles que hi = H(p,q,MU + P*V), h2 = H(U.p, V.q) ; 
5 - si b = 2, le dispositif de verification calcule a partir des 

elements recus p,q, U\ V les valeurs de MIT + P*V\ U'.p, V.q et ces 
valeurs doivent. si la reponse est correcte, etre telles que hi = 
HIp.q.MU* + P*V), h3 = HIU'.p, V.q) ; 

- si b = 3, alors le dispositif de verification v6rifie les deux 

10 egalites h2 = H(U.p, V.q) et h3 = H(U".p, V".q). De plus, le dispositif 
de verification calcule les deux vecteurs U" - U.p et V.q - S" et teste que 
ces vecteurs sont bien constitu£s uniquement d'eiements de I'ensemble 
X. Si le test ci-dessus s'est av6r6 correct, le dispositif de verification 
considere que le protocole s'est termine par un succes. Si le test n'est 

15 pas correct, le dispositif d'identification est rejete. 

Le dispositif de verification r6pete les etapes ci-dessus un 
nombre t de fois, fonction du niveau de s6curit6 requis. Lorsque le 
dispositif est accepte, on envoit une impulsion de commande sur 
I'interface entree/sortie du systeme prot6g6 qui permet la mise en route 

20 de la transaction ulterieure. 

L'ensemble des operations ci-dessus est symbolise sur la 
figure 1 dans laquelle la partie de gauche repr6sente les diff6rentes 
operations r6alisees au niveau du dispositif d'identification, tandis que la 
partie de droite repr6sente les diff6rentes operations r6alis6es au niveau 

25 du dispositif de verification, les fieches symbolisant I'envoi 
d'informations d'un dispositif vers I'autre. 

Un autre mode de mise en oeuvre du proc6d6 
d'authentification de la presente invention sera maintenant d6crit avec 
reference a la figure 2. 

30 Ce second mode de realisation demande plus de calculs que le 

mode de realisation precedent, mais la probabilite de succ6s d'une entite 
ill6gale decroit plus vite. Ce mode de realisation comporte done les 
etapes suivantes, symbolisees sur la figure 2 de maniere identique a la 
symbolisation utilis6e sur la figure 1. Dans ce cas, le dispositif 

35 d'identification revdle au dispositif de verification son identite ou sa cl6 
publique sign6e de la m§me maniere que dans I'autre mode de 
realisation. 
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Puis aprgs avoir choisi aieatoirement deux vecteurs V de tailles 
respectives m et n, (m pouvant etre 6gal a n) constitues d'entiers 
compris entre 0 et d-1 ainsi que deux permutations p et q 
respectivement sur m et n elements, le dispositif d' identification calcule 
5 les elements suivants a savoir : hi = H{p,q,MU + P*V), h2 = (U.p, 
V.q), ou P*V dgsigne le produit terme a terme des composantes des 
vecteurs P et V modulo d et H designe une fonction de hachage 
cryptographique. Alors, Pengagement hi et h2 est envoy6 sur le 
dispositif de verification. Le dispositif de verification tire de facon 
10 al6atoire un nombre a compris entre 0 et d - 1 et I'envoie sur le dispositif 
d'identification. 

Alors, le dispositif d'identification calcule et envoie au 
dispositif de verification les vecteurs Y = (aS + U).p et Z = (aT - VJ.q 
ou T est le vecteur k(M(S)) qui peut fitre calcule en fonction de S par le 
15 dispositif d'identification ou stocke dans une partie physiquement 
inviolable de la memoire du dispositif. 

Ensuite le dispositif de verification tire de facon aieatoire un bit 
b qui peut fitre 6gal a 0 ou a 1 : 

- si b = 0, alors le dispositif d'identification envoie une 
20 reponse r constituee des valeurs de p, q ; 

- si b = 1, le dispositif d'identification envoie une reponse r 
constitu6e des vecteurs IT = S.p et V" = T.q ; 

Le dispositif de verification regoit la reponse r et : 

- si b = 0, il calcule a partir de p, q les vecteurs Y' et Z' tels 
25 que (Y').p = Y et (Z').q = Z puis le vecteur M(Y') - P»Z' qui, si la 

reponse est correcte, doit fitre tel que hi = H(p,q,M (Y') - P*Z') ; 

- si b = 1, alors le dispositif de verification calcule les 
vecteurs Y - aU' et aV - Z qui, si la reponse est correcte, doivent etre 
tels que h2 = H(Y - aU", av" - Z). Alors le dispositif de verification teste, 

30 de plus, que les vecteurs U' et V sont constitu6s uniquement 

d'eiements appartenant a I'ensemble X. 

Si le test correspondant a b est correct, le dispositif de 

verification considere que le protocole s'est termin6 par un succes et le 

dispositif d'identification est accepte et on envoie une impulsion de 
35 commande sur I'interface entr6e/sortie du systeme prot6g6 qui permet la 

mise en route de la transaction ult6rieure. Si le test n'est pas correct, le 

dispositif d'identification est rejete. 
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Pour accrottre la s6curit6 du proc6d6, les deux dispositifs 
d' identification et de verification repetent les 6tapes ci-dessus plusieurs 
fois, a savoir t fois, le dispositif de verification n'authentifiant le 
dispositif d'identification que si toutes les sessions du protocole se sont 
5 soldees par un succes. De preference, on choisit t tel que 0 < t < 60, 
les valeurs t = 35 et t = 20 constituant respectivement pour le premier et 
le second mode de realisation, des exemples typiques apportant une 
s6curite suffisante pour nombre d'applications. 

On a decrit ci-dessus deux modes de realisation particuliers qui 
10 peuvent etre modifies sans sortir du cadre de la pr6sente invention. 
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REVENDICATIONS 



1. Proc6d6 d'authentification d'au moins un dispositif 
5 d' identification par un dispositif de verification base sur des techniques 
cryptographiques a cl6s secretes et publiques, I'authentification etant 
r6alis6e par un protocole a apport nul de connaissance, caract6ris6 en ce 
que la cie publique est etablie en utilisant les equations lineaires 
contraintes. 

10 2. Precede - selon la revendication 1, caract6ris6 en ce qu'il 

comporte les etapes suivantes : 

- pour permettre le dialogue entre le dispositif d'identification 
et le dispositif de verification, etablir une cl6 secrete constitute par au 
moins un vecteur S de dimension n dont les coordonn6es sont choisies 

1 5 dans un ensemble X fix6 et une cle" publique comprenant une matrice M 
de dimensions m x n dont les coefficients sont choisis aieatoirement 
parmi les entiers compris entre 0 et d-1 ou d est un nombre premier 
proche du carre" d'un nombre c, et au moins un vecteur P tel que 
P = g(M(S)) ou g designe une fonction qui est d§finie a partir de 

20 I'ensemble X et d'un sous groupe G de I'ensemble des entiers (1, 2. .d-1) 
et qui associe a chaque coordonn6e x d'un vecteur, un element g(x) de 
G tel que x s'6crive d'une maniere unique comme produit de g(x) et d'un 
element k(x) de X, 

- au niveau du dispositif d'identification, recevoir un ou 
25 plusieurs elements aieatoires (U,V,p,q) produits par le dispositif de 

verification et envoyer au dispositif de verification un engagement 
obtenu en appliquant une fonction de hachage cryptographique sur des 
paramdtres fonctions de S, de M et des elements aieatoires tir6s par le 
dispositif de verification, 
30 - puis, en fonction du ou des nombres aieatoires tires par le 

dispositif de verification, tester au niveau du dispositif de verification a 
I'aide des elements recus et de la c!6 publique, que les engagements 
sont corrects. 

3. Procede selon Tune quelconque des revendications 1 et 2, 
35 caracterise en ce que Ton r6pete les operations pr6c6dentes un nombre 
de fois fonction du niveau de s6curit6 souhait6. 
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4. Proc6de selon Tune quelconque des revendications 
pr6c6dentes» caract6ris6 en ce que I'ensemble X est forme de c 
elements tels que tout entier compris entre 1 et d-1 s'ecrive de maniere 
unique comme produit d'un element de G et d'un element de X. 
5 5. Proc6d6 selon Tune quelconque des revendications 1 a 4, 

caract6ris6 en ce que les elements aieatoires sont constitu6s par deux 
vecteurs U et V de dimensions respectives m et n et constitues d'entiers 
compris entre 0 et d-1 et par deux permutations p et q respectivement 
sur m et n elements. 
10 6. Proc6d6 selon I'une quelconque des revendications 1 a 5, 

caract6ris6 en ce que m = n. 

7. Proc6d6 selon I'une quelconque des revendications 1 a 6, 
caract6rise en ce que d = 257 et n = 20. 

8. Proc6d6 selon I'une quelconque des revendications 1 a 6, 
15 caracteris6 en ce que, au debut de chaque dialogue, le dispositif 

d'identification revele au dispositif de verification son identity et/ou sa 
cl6 publique sign6e. 

9. Proc6d6 selon I'une quelconque des revendications 1 a 8, 
caract6ris6 en ce que, une fois le dialogue 6tabli entre le dispositif 

20 d'identification et le dispositif de verification et les elements al6atoires 
choisis : 

- le dispositif d'identification calcule et transmet au dispositif 
de verification les engagements hi et h2 definis a partir d'un dispositif 
de hachage par hi =H(p,q,MU + P*V), h2 = (U.p,V.q) ou P*V designe le 

25 produit terme a terme des composantes des vecteurs P et V, r6duit 
modulo d ; 

- le dispositif de verification tire d'une fapon aieatoire un 
nombre a compris entre 0 et d-1 ; 

- alors, le dispositif d'identification calcule et envoie au 
30 dispositif de verification les vecteurs Y = (aS + U).p et Z = (aT-V).q, ou T 

est le vecteur k{M(S)) ; 

- le dispositif de verification tire de fagon aieatoire un bit b=0 

ou 1 ; 

- si b vaut 0, alors le dispositif d'identification retourne une 
35 reponse r constitu6e des valeurs de p, q ; 

- si b vaut 1 , le dispositif d'identification retourne une r6ponse 
r constituee des vecteurs U' =S.p et V =T.q ; 
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- le dispositif de verification regoit la reponse r, dans le cas 
b = 0, il calcule, a partir de p et q les vecteurs Y' et Z" tels que (Y').p = Y 
et (Z').q=Z, puis le vecteur M(Y')-P*Z' lequel doit, si la reponse est 
correcte, etre tel que hi =H(p,q,M(Y , )-P # Z') ; 

5 - si maintenant b = 1 , alors le dispositif de verification calcule 

les vecteurs Y-aU' et aV'-Z, lesquels doivent, si la reponse est correcte, 
§tre tels que h2 = HfY-aU'.aV'-Z), le dispositif de verification testant de 
plus que les vecteurs U' et V" sont constitu6s uniquement d'eiements de 
X. 

10 10. Procede selon Tune quelconque des revendications 1 a 8, 

caracterise en ce que, une fois le dialogue etabli entre le dispositif 
d' identification et le dispositif de verification et les elements al6atoires 
choisis : 

- le dispositif d'identification calcule et transmet au dispositif 
15 de verification les engagements hi, h2 et h3 d6finis a partir d'un 

dispositif de hachage par M = H(p,q,MU + P # V), h2 = H{U.p,V.q) et 
h3 = H((U + S).p,(V-T).q) ou P*V designe le produit terme a terme des 
composantes des vecteurs P et V, r6duit modulo d et ou T est le vecteur 
k(M(S)) ; 

20 - le dispositif de verification tire de fagon aieatoire un nombre 

b tel que 0<b<4 ; 

- si b vaut 1, alors, le dispositif d'identification retourne une 
reponse r constitu6e des valeurs de p,q,U et V ; 

- si b vaut 2, alors le dispositif retourne une r6ponse r 
25 constitu6e de p,q et des vecteurs U' = (U + S) et V* = (V-T) ; 

- si b vaut 3, alors le dispositif retourne une reponse r 
constituee des vecteurs U.p, V.q ainsi que des vecteurs U" = (U + S).p et 
V" = (V-T).q ; 

- le dispositif de verification regoit la reponse r, dans le cas 
30 b = 1, il calcule a partir des 6l6ments regus p,q,U,V, les valeurs de 

MU + P*V, U.p, V.q lesquelles doivent, si la reponse est correcte, etre 
telles que hi = H(p,q,MU + P*V), h2 = H(U.p,V.q) ; 

- si au contraire b vaut 2, il calcule a partir des elements regus 
p,q,U',V, les valeurs de MU' + P*V\ U'.p, V.q lesquelles doivent, si la 

35 reponse est correcte, etre telles que hi =H(p,q,MU' + P*V") et 
h3 = H(U\p,V'.q) ; 
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- si enfin b vaut 3, alors le dispositif de verification vgrifie les 
deux 6galit6s h2 = H(U.p,V.q) et h3 = H{U",V"), de plus, le dispositif de 
verification calcule les deux vecteurs U"-U.p et V.q-V" et teste que ces 
vecteurs sont bien constitu6s uniquement d'6l6ments de X. 
5 11. Proc6d6 selon Tune quelconque des revendications 9 et 

10, caracterisS en ce que Ton r£pSte les Stapes ci-dessus un nombre t 
de fois, fonction du niveau de s6curit6 requis, le dispositif de verification 
n'authentifiant le dispositif d'identification que si toutes les sessions du 
protocole se sont sold6es par un succes. 
10 12. Proc6d6 selon Tune quelconque des revendications 9 et 

10, caract£ris6 en ce que le vecteur k (M(S)) est calcuie en fonction de 
S par le dispositif d'identification ou est stock£ dans une partie 
physiquement inviolable de la m6moire du dispositif. 



DlgPQSITIF D'IDENTIFICATION 
Cle secrete - vecteurs S 

Produire : 

- un vecteur aleatoire U de taille m 

- un vecteur aleatoire V de taille n 

- une permutation aleatoie p sur m 

- une permutation aleatoire q sur n 

Calculer : hi = H(p,q,MU + P*V) 

h2 = (U p, V.q) 

h3 = H((U + S).p,(V-T).q)) 

T = k(M(s)) 
Envoyer hi, h2, h3 



Recevoir b 

si b = 1 alors r = {p, q, U, V} 

si b = 2 alors r = {p, q, U' = U + S, 

V = V-T} 
si b = 3 alors r* = {U.p, V.q 
U"= (V + S).p, 
V = (V-T).q} 



Envoyer r 
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D1SPOSITIF DE VERIFICATION 
Cle publique = vecteur P 



Recevoir hi, h2, h3 
produire un nombre aleatoire b tel que : 
0< b<4 

Envoyer b 



Recevoir r 

si b = 1 verifier hi, h2 

sib = 2verifierh1, h3 

si b = 3 verifier h2, h3 

et tester que les vecteurs trouves 
EaX I 




Oui 









Oispositif 
accepts 



DISPQSITIF D'IDENTIFICATION 
Cle secrete = vecteurs S 

Produire : 

- un vecteur aleatoire U de taille m 

- un vecteur aleatoire V de taille n 

- une permutation aleatoie p sur m 

- une permutation aleatoire q sur n 

Calculer : hi = H(p,q,MU + P*V) 
h2 = (U.p, V.q) 



Envoyerhl, h2 



Recevoir a 

Calculer : 
Y = (aS + U).p 
Z = (aT-V).q 
T = k(M(s)) 

Envoyer Y, Z 



Recevoir b 

si b = 0 alors r = {p,q} 

si b = 1 alors r = {IT = S.p, V = T.q} 

Envoyer r 



DISPQSITIF DE VERIFICATION 
Cle publique = vecteur P 



Recevoir hi, h2 
Tirer un nombre aleatoire a tel que : 
0< a< d - 1 

Envoyer a 



Recevoir Y, Z 
Tirer un nombre aleatoire b tel qu 
0<b<1 

Envoyer b 

Recevoir r 
si b = 0 verifier hi 
si b = 1 verifier h2 
t tester que les vecteurs 8 a X 




> 






Dispositif 
accepte 
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